La certification et les codes de conduite

Qu’est-ce que la certification ?

La certification est la procédure, prévue par les articles 42 et 43 du Règlement général sur la protection des données (RGPD), permettant à un professionnel de demander à un organisme  tiers d’attester de la conformité de son produit, processus, service ou de ses compétences à des caractéristiques décrites dans un référentiel donné.

L’organisme tiers, aussi appelé tiers certificateur, doit justifier de son indépendance et de son impartialité. Pour ce faire, le RGPD prévoit deux types de procédures :

• L’obtention d’un agrément auprès de la CNIL après avoir démontré so indépendance et son expertise sur la base d’un référentiel établi par la CNIL.
• L‘obtention d’une accréditation, auprès du Comité français de l’accréditation (COFRAC). L’impartialité et la compétence du tiers sont également évaluées sur la base d’un référentiel d’accréditation constitué des exigences prévues dans la norme ISO 17065 ainsi que des exigences supplémentaires établies par la CNIL.

A quoi sert la certification ?

Un organisme qui a obtenu la certification d’un produit ou d’un service peut utiliser celle-ci pour démontrer que l’opération de traitement concernée par la certification respecte le règlement.

Exemples :

• L’application par un sous-traitant d’un mécanisme de certification lui permettra de justifier auprès de ses donneurs d’ordre de garanties suffisantes quant à la mise en œuvre de mesures techniques et opérationnelles conformes aux exigences du RGPD.
• Un organisme qui souhaite mettre en œuvre un traitement dans une logique de conception et protection des données par défaut pourra utilement s’appuyer sur un mécanisme de certification.

Une demande de certification peut être formulée par tout organisme souhaitant démontrer que les traitements de données qu’il met en œuvre par le biais d’un de ses produit ou service sont conformes au RGPD. Il est néanmoins nécessaire qu’un référentiel de certification approprié existe. 

Exercer une activité de certificateur en matière de protection des données ?

La procédure à suivre variera selon le schéma de certification déterminé au niveau national (accréditation par le COFRAC ou agrément par la CNIL) pour le traitement concerné. Dans toutes ces hypothèses, le service des Outils de la conformité de la CNIL pourra vous guider dans votre projet relatif à la certification.

Pour toute question contactez le service des outils de la conformité.

Quel calendrier pour les lignes directrices européennes ?

Les lignes directrices relatives aux mécanismes d’accréditation et de certification sont actuellement en cours d’élaboration par le Comité européen de la protection des données (CEPD). La version finale des lignes directrices du CEPD relatives à l’accréditation devrait être adoptée en décembre 2018, et celle relative à la certification devrait être adoptée en janvier 2019.

La CNIL communiquera toutes les informations utiles sur son site internet lorsque ces mécanismes seront opérationnels.

Qu’est-ce qu’un code de conduite ?

Le code de conduite est un outil de  conformité prévu par les articles 40 et 41 du Règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD).

Cet outil est destiné à faciliter la bonne application des dispositions du règlement, compte tenu des spécificités des traitements effectués dans un secteur et des besoins spécifiques des micros, petites et moyennes entreprises.

Pourquoi rédiger un code de conduite ?

Le code de conduite permet :

• d’envoyer un signal positif aux clients et aux professionnels d’un secteur ;
• de construire un socle commun de bonnes pratiques en matière de protection des données, juridiquement contraignant ;
• d’harmoniser les pratiques d’un secteur
• de répondre aux besoins des micros, petites et moyennes entreprise dans leur démarche de mise en conformité, en les aidant à bâtir  des traitements conformes au RGPD.

Qui peut rédiger un code de conduite ?

La décision d’élaborer un code de conduite relève d’une démarche sectorielle qui doit être initiée par des associations, fédérations, ou des organismes représentant des catégories de responsables de traitement ou de sous-traitants.

En pratique, cette démarche peut se traduire par la mise en place d’un groupe de travail réunissant quelques responsables de traitements et/ou de sous-traitants. La participation de délégués à la protection de données sera un atout.

Quel doit être son contenu ?

Il ne peut se contenter de reprendre les dispositions du RGPD mais doit les traduire de manière opérationnelle et adaptée  pour répondre aux besoins et problématiques du domaine d’activité, qui doivent être recensés, identifiés et qualifiés.

Il doit ainsi apporter des propositions concrètes sous forme, par exemple :

• de fiches thématiques, dédiées aux traitements de données mis en œuvre par les organismes du secteur concerné, expliquant concrètement ce qui doit être fait (quelles données collecter en fonction des différents cas d’usage envisagés, combien de temps les conserver, etc.)
• de modèles de mentions d’information adaptées au public concerné ou encore de modalités pratiques d’exercice de leurs droits par les personnes.
• des recommandations concrètes sur les mesures de sécurité à appliquer après une étude des risques liées aux traitements.

Le recueil de l’avis des professionnels du secteur est indispensable pour  relever les difficultés rencontrées par le secteur dans la mise en œuvre des principes informatique et libertés.

Des lignes directrices européennes relatives aux codes de conduite sont actuellement en cours d’élaboration par le Comité européen de la protection des données (CEPD).

Quel accompagnement par la CNIL ?

Les travaux de conception et de rédaction d’un code de conduite sont effectués par les représentants du secteur concerné. Pendant cette phase préparatoire, les services de la Commission vous accompagnent dans les différentes étapes d’élaboration, sous la forme d’une demande de conseil.  

Pour toute question sur la méthodologie applicable contactez le service des outils de la conformité.

Comment faire approuver le code de conduite par la CNIL ou le CEPD ?

Le projet de code finalisé peut être adressé à  la CNIL via un téléservice dédié (à venir) sur notre site web.

• Si le projet de code est national, la CNIL  rend un avis sur la conformité au RGPD du projet, elle l’approuve et le publie.
• Si le projet de code est européen il doit être communiqué à la CNIL  qui  le soumettra à l’avis du Comité européen de la protection des données (CEPD). Le CEPD soumet ensuite son avis  à la Commission Européenne qui décide de l’application de ce code au sein de l’Union européenne et publie le code de conduite.